Karriere Kontakt Kontakt Downloads Downloads

Allgeier CyRis GmbH

Schauenburger Straße 116
24118 Kiel
T: +49 431 53 03 39 90
F: +49 431 53 03 39 99 info@docsetminder.de
Live-Demo GoBD
Whitepaper

Das IT-Sicherheitsgesetzt - Wie wird es umgesetzt?

Möglichkeiten der Ausgestaltung und Implementierung eines Sicherheits-Managementsystems

Nun also ist es schon seit einigen Wochen verabschiedet: Das erste IT-Sicherheitsgesetzt zum Schutz der kritischen Infrastrukturen (KRITIS) in Deutschland. Diese KRITIS-Unternehmen werden durch das IT-Sicherheitsgesetz verpflichtet, bestimmte Sicherheitsstandards für ihre IT-Systeme einzuhalten. Allerdings sind zurzeit noch keine expliziten Standards für diese Unternehmen entwickelt, weiterhin zielt die Regelung auf die Implementierung eines ISMS gemäß ISO 27001.

Die Einhaltung dieser (noch zu entwickelnder Standards) soll vom BSI überprüft werden .Die Anforderung aus dem Gesetz zielt auf ein Informationssicherheits-Managementsystem (ISMS), welches konform zur ISO 27001 sein soll. Genauere Anforderungen an die Ausgestaltung des ISMS sind vom Gesetzgeber (noch) nicht definiert.

Allgemein gilt, das KRITIS-Unternehmen verpflichtet werden, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen „Kritischen Infrastrukturen“ maßgeblich sind. Diese Maßnahmen sollen angemessen sein, allerdings darf der erforderliche Aufwand nicht im Missverhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen „Kritischen Infrastruktur“ stehen.

Für die Einführung der Maßnahmen ist eine Übergangsfrist von zwei Jahren ab Verabschiedung des Gesetzes geplant. Die getroffenen Maßnahmen müssen dem Stand der Technik (eine Formulierung, die der Chaos Computer Club CCC als zu ungenau kritisiert) entsprechen und zugleich angemessen sein. Bei der Prüfung, der Angemessenheit einer Maßnahme sind sowohl der erforderliche Aufwand wie auch die aufzuwendenden Kosten zu berücksichtigen.

Die Maßnahmen müssen von den Betreibern in Sicherheits- und Notfallkonzepten niedergelegt werden, um deren Umsetzung zu dokumentieren. Ein Nachweis über die Umsetzung der Maßnahmen soll alle zwei Jahre in Form von Audits und/oder Zertifizierungen geschehen. Gut für alle Unternehmen, die schon ein ISMS eingeführt haben oder auf dem Weg dahin sind: Bestehende Strukturen dürfen auch weiterhin verwendet werden.

Wesentlich für das neue IT-Sicherheitsgestz ist die verpflichtende Meldung von bedeutenden Störungen ihrer IT-Systeme. Das gilt bereits bei der Möglichkeit einer Beeinträchtigung, so dass andere Unternehmen, die ebenfalls betroffen sein könnten, rechtzeitig gewarnt werden. Glücklich, wer hier bereits angefangen hat, entsprechende Automatismen und Formen der Übermittlung als Teil seines ISMS zu etablieren.

Eine entsprechende Datenbasis vorausgesetzt lässt sich diese Meldung und Übermittlung von Vorfällen und den betroffenen Systemen mit geeigneten Werkzeugen standardisieren. Allerdings sollte rechtzeitig mit der Implementierung deses Prozesses begonnen werden, denn ohne geeignete interne Ressourcen wird das beste Tool nicht über Nacht arbeitsfähig sein können. Die Notwendigkeit, solch ein Managementsystem für Informationssicherheit zu betreiben und die damit einhergehenden Meldepflichten dürften für viele Unternehmen zu größeren Aufwänden im Unternehmen führen. Für Unternehmen aus dem Bereich der KRITIS ist es daher höchste Zeit, das Thema anzugehen.

Zurück